新睿云

> DDoS高防IP > 被DDOS攻击时候如何组织防御?

被DDOS攻击时候如何组织防御?

作者/来源:新睿云小编 发布时间:2019-05-29

1.定期检查服务器漏洞

定期检查服务器软件安全漏洞,是确保服务器安全的最基本措施。无论是操作系统(Windows或linux),还是网站常用应用软件(mysql、Apache、nginx、FTP等),服务器运维人员要特别关注这些软件的最新漏洞动态,出现高危漏洞要及时打补丁修补。

2.隐藏服务器真实IP

通过CDN节点中转加速服务,可以有效的隐藏网站服务器的真实IP地址。CDN服务根据网站具体情况进行选择,对于普通的中小企业站点或个人站点可以先使用免费的CDN服务,比如百度云加速、七牛CDN等,待网站流量提升了,需求高了之后,再考虑付费的CDN服务。

其次,防止服务器对外传送信息泄漏IP地址,最常见的情况是,服务器不要使用发送邮件功能,因为邮件头会泄漏服务器的IP地址。如果非要发送邮件,可以通过第三方代理(例如sendcloud)发送,这样对外显示的IP是代理的IP地址。

3.关闭不必要的服务或端口

这也是服务器运维人员最常用的做法。在服务器防火墙中,只开启使用的端口,比如网站web服务的80端口、数据库的3306端口、SSH服务的22端口等。关闭不必要的服务或端口,在路由器上过滤假IP。

4.购买高防提高承受能力

该措施是通过购买高防的盾机,提高服务器的带宽等资源,来提升自身的承受攻击能力。一些知名IDC服务商都有相应的服务提供,比如阿里云、腾讯云等。但该方案成本预算较高,对于普通中小企业甚至个人站长并不合适,且不被攻击时造成服务器资源闲置,所以这里不过多阐述。

5.限制SYN/ICMP流量

用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法,虽然目前该方法对于DdoS效果不太明显了,不过仍然能够起到一定的作用。

6.网站请求IP过滤

除了服务器之外,网站程序本身安全性能也需要提升。以小编自己的个人博客为例,使用cms做的。系统安全机制里的过滤功能,通过限制单位时间内的POST请求、404页面等访问操作,来过滤掉次数过多的异常行为。虽然这对DDOS攻击没有明显的改善效果,但也在一定程度上减轻小带宽的恶意攻击。

被ddos攻击时如何防御?

虽然您无法完全阻止来自DDoS攻击的所有恶意请求,但您可以采取以下步骤来帮助缓解服务器遇到的压力。

实现与边缘路由器之间的速率限制。这将限制每个IP可以做的损害。

如果可能,利用上游路由协议(例如BGP)来指示您的ISP在到达边缘之前阻止IP。

实施区域阻止-按地区查找最大的合法客户群,并阻止所有其他区域。

减少Web服务器级别和操作系统级别的打开连接的超时限制。此外,如果您的Web服务器支持,请实施智能keepalive(如NGINX)。

部署代理或CDN以卸载站点的大型资源密集型部分。

如果使用Linux,则降低sysctl.conf中SYN,ICMP和UDP请求的丢弃阈值。

增加最大客户端(Apache)或同等数量,以处理您的应用程序或网站将获得的额外合法和非法流量。

 

热门标签
免费领云产品
在线客服   
{{item.description}}

—您的烦恼我们已经收到—

我们会将处理结果发送至您的手机

请耐心等待